Le Sénat renforce la cyber dans la loi de programmation militaire

Le Sénat renforce la cyber dans la loi de programmation militaire

19 juin 2023

Le projet de loi de programmation militaire 2024-2030 est désormais au Sénat après son adoption par l'Assemblée Nationale. L' adoption définitive est prévue mi-juillet. « Il faut nous tenir prêts à affronter l'improbable, voire l'imprévisible » préviennent les Sénateurs dans leur rapport de la Commission. « Dans ce contexte incertain, la commission approuve les orientations du projet de LPM pour 2024-2030, qui poursuit la trajectoire d'augmentation des crédits de la LPM 2019-2025 afin de renouveler, de moderniser et de renforcer nos moyens de défense ». Ce texte qualifié « d’existentiel » définit les orientations pluriannuelles pour la défense nationale et dope la cybersécurité.

Le Sénat renforce la cyber dans la loi de programmation militaire

Le projet de loi de Programmation militaire (LPM) 2024-2030 prévoit une augmentation significative du budget de la mission défense d'ici à la fin de la décennie.

L'enveloppe totale, sur sept ans, s'élève à 400 Md€ de crédits de paiement, complétés par 13,3 Md€ de ressources supplémentaires pour financer des besoins totaux évalués à 413,3 Md€. Cette enveloppe augmente de 40 % par rapport à celle de la LPM 2019-2025 (295 Md€).

4 milliards sont dédiés à la cyber avec le programme 129, relatif à la cyberdéfense.

La Commission du Sénat, le 14 juin 2023 a introduit un amendement qui renforce la coordination entre l’Anssi et le Ministère des armées dans les domaines « de la lutte informatique défensive (LID), de la lutte informatique offensive (LIO) et de la lutte informatique d'influence (L2I) pour faire face aux menaces nouvelles en métropole et dans les outre-mer ».

Les sénateurs renforcent les capacités de l’Anssi sur les menaces et détections. Ils complètent les ’obligations pour les hébergeurs et fournisseurs d'accès à Internet ou registrars, par le filtrage gradué des noms de domaine utilisés ou instrumentalisés par les cybers attaquants en vue d'entraver une menace susceptible de porter atteinte à la sécurité nationale.

« Il s'agirait pour l'ANSSI de prescrire des mesures de filtrage ou de redirection de noms de domaine afin de neutraliser leur utilisation par un « pirate », mais aussi de mieux comprendre

L'encadrement de cette procédure, quant à la justification de la menace et de la proportionnalité de la mesure, serait effectué par l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP), laquelle serait investie de la mission de statuer sur les demandes de l'ANSSI et de lui rendre un avis conforme.

La transmission de données est renforcée

L’obligation de transmission, par les fournisseurs de système de résolution de noms de domaine, à l'ANSSI de données techniques non identifiantes enregistrées temporairement par des serveur DNS est instaurée. Elle vise à permettre d'identifier les serveurs et les infrastructures mis en place par les cyber attaquants, de suivre leur activité et d'établir la chronologie des attaques.

Il est précisé que les données recueillies ne sont ni directement ni indirectement identifiantes et ne peuvent être exploitées que pour les besoins de la sécurité des systèmes d'information et qu'aux seules fins de détecter et de caractériser des attaques informatiques.

Les mesures d'application de l'article seraient prises par décret en Conseil d'État après avis de l'ARCEP.

 

L’obligation de prévenir les utilisateurs

Autre mesure, les éditeurs de logiciels victimes d'un incident informatique sur leur système d'information susceptible d'affecter un de leurs produits ou ayant une vulnérabilité significative sur un produit seront tenus de le notifier à l'ANSSI et d’en informer leurs utilisateurs.

« Cette mesure a pour objet de garantir l'information des utilisateurs afin qu'ils puissent mettre en œuvre des mesures adaptées pour corriger les vulnérabilités dont ils auront été informés ». En cas de défaut d'information par les éditeurs, le dispositif prévoit que l'ANSSI puisse elle-même informer les utilisateurs et rendre public l'incident ou la vulnérabilité.

Si l'injonction de l'ANSSI n'est pas suivie d'effet et que l'éditeur persiste dans son défaut d'information, le manquement ainsi constaté peut faire l'objet d'une information publique.

Plusieurs mesures d'encadrement sont prévues :

- le dispositif ne concerne que les éditeurs de logiciels et les utilisateurs recourant à leurs produits sur le territoire français ;

- seuls les vulnérabilités significatives ou les incidents informatiques compromettant la sécurité des systèmes d'information des éditeurs seront à notifier ;

- en cas de vulnérabilité sur des systèmes confidentiels, seule l'ANSSI sera destinataire des notifications.

Augmenter les capacités de détection

Par ailleurs, la sécurité des systèmes d'information au sein de la loi de programmation militaire contient trois volets contenant des dispositions visant à renforcer les capacités de détection des cyberattaques par l'ANSSI en s'appuyant sur certains acteurs du numérique pour mieux prévenir et caractériser les menaces et alerter les victimes.

Le premier volet vise à permettre la collecte par l'ANSSI des données nécessaires à la compréhension de la menace, à l'identification des victimes et à la protection de la Nation. Il vise à renforcer le dispositif adopté dans le cadre de la loi de programmation 2019-2025 en étendant la possibilité de recueil des données non pas aux seules métadonnées (celles relatives à la description des flux) mais aux données de contenu et à la copie du trafic du réseau et à la mémoire du serveur utilisé par l'attaquant. Ainsi, l'article 35 instaure un contrôle par l'ARCEP sur la justification de la menace, notamment au moyen d'un avis conforme pour les dispositifs permettant le recueil de données de contenu (copie de disque dur, sonde capturant l'intégralité des flux).

Le périmètre de la mesure serait limité aux opérateurs sensibles (autorités publiques, opérateurs d'importance vitale (OIV) et opérateurs de survie essentiels (OSE)), pour une durée limitée, via une exploitation par des agents spécialement habilités et avec une destruction immédiate des données jugées inutiles pour la prévention et la caractérisation de la menace.

Le deuxième volet vise à rendre obligatoire la mise en place de capacités de détection chez les opérateurs de communications électroniques, moyennant une juste rémunération pour la partie matérielle des dispositifs destinés à l'exploitation des « marqueurs » de l'ANSSI.

Il s'agit de dispositifs permettant de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information de leurs abonnés. Cette mesure vise à étendre les capacités nationales de détection de l'ANSSI et à amener les opérateurs à fournir à leurs clients un flux sécurisé de données.

Enfin, le troisième volet vise à étendre le périmètre de mise en œuvre des dispositifs de détection, d'obtention de copie de serveur et de données de trafic sur les réseaux aux opérateurs de centres de données, et aux sous-traitants des autorités publiques, OIV et OSE.

Ces mesures vont considérablement impacter par effets directs ou indirects les acteurs publics et privés de toutes tailles.

Patrice Remeur pour Prorisk cyber

Liste des marques

Références

Gardons le cap face aux cybermenaces

Information

  • 7 rue du commandant Malbert

    29200

    BREST